Trojanermails mit Absender „Newsletter Karstadt” oder „Support Amazon”

Vorsicht! Seit einigen Tagen sind E-Mails mit Trojaneranhang unterwegs, die auf offene Forderungen hinweisen und die Absenderadresse [email protected] oder [email protected] tragen.

Diese E-Mails stammen jedoch nicht von Amazon oder Karstadt, sondern es handelt sich um sogenanntes Mail-Spoofing. Es wird also eine falsche Adresse hier vorgegaukelt, um einen seriösen Anschein zu erwecken. Bei diesen Mails handelt es sich um die klassischen und gefährlichen E-Mails, die sich als Anwalt, Bezahlportal oder Inkassodienst ausgeben und auf offene Rechnungen oder Mahnbeträge hinweisen. Sie tragen neben der korrekten Anrede des Empfängers auch die Adressdaten und Rufnummer des Empfängers im Text, was sie gefährlich überzeugend macht.
Dennoch handelt es sich um gefälschte Mails, die im Anhang einen Trojaner tragen. Trotz verschiedener Absenderangaben und auch verschiedener Betreffzeilen weisen alle diese E-Mails eine Reihe von Gemeinsamkeiten auf, woran man am Ende erkennen kann, dass es sich um betrügerische E-Mails handelt. Die wichtigste Gemeinsamkeit ist der Dateianhang in Form einer .zip Datei. Auch wenn sich der Dateianhang als eine Rechnung/Mahnung ausgibt, sollte man diesen nicht öffnen und auf keinen Fall die darin befindliche Datei ausführen. Es handelt sich hierbei um einen TROJANER!

Guten Tag,
unser Inkasso Büro wurden vom Unternehmen Bank-Pay GmbH beauftragt Ihre gesetzlichen Rechte in Ihrer Angelegenheit zu schützen.
Wir erwarten die gesamte Überweisung inklusive der Mahnkosten bis spätestens 07.08.2017 auf unser Konto. Falls wir bis zum genannten Termin keine Überweisung einsehen, sehen wir uns gezwungen Ihren Mahnbescheid an ein Gericht abzugeben. Alle damit verbundenen Kosten werden Sie tragen müssen.
Eine vollständige Forderungsausstellung NR. 170499641, der Sie alle Einzelpositionen entnehmen können, ist beigefügt.
Aufgrund des bestehenden Zahlungsausstands sind Sie gezwungen zusätzlich, die durch unsere Beauftragung entstandene Kosten von 85,96 Euro zu tragen. Um zusätzliche Mahnkosten zu vermeiden, bitten wir Sie den fälligen Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Zahlungseingänge bis zum 02.08.2017.
Bei Rückfragen oder Anregungen erwarten wir eine Kont aktaufnahme innerhalb von zwei Werktagen.
Mit freundlichen Grüßen
Rechnungsstelle Marlon Harsherin

Die Checkliste:

Wir haben die elementaren Bestandteile dieser Mails verglichen und die Bausteine, welche sich immer ähneln, aufgelistet.
Die Absenderangaben dieser Trojanermails lauten:

• OnlinePay24 GmbH Rechnungsstelle
• GiroPay24 GmbH Rechnungsstelle
• Sachbearbeiter Bank Payment GmbH
• Stellvertretender Rechtsanwalt DirectPay AG
• Rechtsanwalt Mail & Media AG
• Rechtsanwalt OnlinePay24 GmbH
• Rechtsanwalt Directpay24 AG
• Sachbearbeiter Ebay GmbH
• Stellvertretender Sachbearbeiter Pay Online24 AG

Es gibt noch mehrere, ähnlich lautende Absenderangaben. Dennoch müsste diese Aufstellung hinreichend darstellen, mit welchen Wortbausteinen die Angaben erstellt werden. Auf dieselbe Weise funktioniert auch die Konstruktion der Betreffzeilen. Hier werden ebenso immer dieselben Bausteine genutzt und verschieden aneinandergereiht:

• Ihre Automatische Konto-Lastschrift 40252279 konnte nicht vorgenommen werden 03.07.2017
• Rechnung 14 Juni 2017 Buchungsnummer 44105336
• Automatische Konto-Lastschrift konnte nicht vorgenommen werden 13 Juni 2017
• Lastschrift Nummer 60176078 konnte nicht vorgenommen werden 19.06.2017
• Rechnung Nummer 140970533 vom 19.06.2017
• Rechnung zur Bestellung vom 26.06.2017 NR. 933230033
• Abrechnung 97511174 vom 26.06.2017
• Rechnung noch offen 26.06.2017 Nr. 08591652
• Automatische Kontoabbuchung konnte nicht durchgeführt werden 21.06.2017
• Rechnung vom 01.06.2017 NR74057139
• Rechnung für **** **** Nummer 291261814 vom 01.06.2017
• Kontoabbuchung konnte nicht durchgeführt werden 30.06.2017

In den Betreffzeilen werden zudem aktuelle Datumsangaben verwendet, um eine bestimmte Dringlichkeit aufzubauen.

Der Inhalt

Inhaltlich sind diese vielfältigen E-Mails ebenso recht ähnlich aufgebaut und es werden verschiedene Bausteine aneinandergereiht, die einen überzeugenden Text ergeben. Ein Beispiel hierfür:

Sehr geehrte/r ***** *****,
bedauerlicherweise haben wir festgestellt, dass die Zahlungserinnerung NR992405416 bislang erfolglos blieb. Jetzt geben wir Ihnen hiermit letztmalig die Möglichkeit, den nicht gedeckten Betrag der Firma DirectPay AG zu begleichen.
Aufgrund des andauernden Zahlungsrückstands sind Sie angewiesen zuzüglich, die durch unsere Inanspruchnahme entstandene Gebühren von 60,14 Euro zu tragen. Bei Rückfragen oder Reklamationen erwarten wir eine Kontaktaufnahme innerhalb von zwei Werktagen. Um zusätzliche Mahnkosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser Konto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 12.06.2017.
Gespeicherte Vertragsdaten:
[an dieser Stelle erscheinen die echten Adressdaten,
sowie die echte Rufnummer des Empfängers]
Überweisen Sie den aussehenden Betrag unter Angaben der Rechnungsnummer so rechtzeitig, dass dieser spätestens zum 15 Juni 2017 auf unserem Bankkonto verbucht wird. Können wird bis zum genannten Termin keine Überweisung einsehen, sind wir gezwungen Ihre Forderung an ein Inkassounternehmen zu übergeben. Alle damit verbundenen zusätzliche Kosten werden Sie tragen müssen.
Die vollständige Forderungsausstellung NR992405416, der Sie alle Einzelpositionen entnehmen können, ist beigelegt.
Mit verbindlichen Grüßen
Stellvertretender Rechtsanwalt Anton Behaim

Öffne auf keinen Fall den Dateianhang!

In den bisher bearbeiteten Fällen zu diesen Mails hat sich immer gezeigt, dass es sich bei den Anhängen um Trojaner handelt. Bei der Analyse der Mails vermeldete Kaspersky Total Security einen Trojanerfund:

Was ist ein TROJANER?

Trojaner sind ausführbare Dateien, die vorgeben, etwas anderes zu sein, als sie in Wahrheit sind. Wenn man die Datei ausführt, dann macht es zuerst einmal den Anschein, als würde nichts passieren.
Aber das stimmt nicht! Im Hintergrund wird ein Programm installiert.
Die Programme bzw. die Internetbetrüger, die hinter solchen Programmen stecken, haben nun z.B. Zugriff auf Ihre Daten bzw. können sie auch die völlige Kontrolle über Ihren Rechner übernehmen.
Der verräterischste aller Dateianhänge ist der .zip Anhang. Mails von vertrauenswürdigen Quellen kommen niemals als .zip Datei, auch nicht als .com /.pif / .ico / .scr/ .exe
Bitte nicht öffnen und den Inhalt ausführen, außer man erwartet bewusst eine solche Datei.
1) Wer den Dateianhang öffnet bzw. geöffnet hat und den Inhalt auch ausgeführt hat (das ist der kritische Punkt!), sollte als erstes einmal den PC von seinem Virenscanner untersuchen lassen.
2) Ändere alle Passwörter zu Sozialen Netzwerken, Onlineshops usw. Bitte auch vorsichtshalber Bank oder Kreditkarteninstitut benachrichtigen.